惡意程式
SocGholish 使用入侵技巧協助散布 RansomHub 勒索病毒
Trend Research 分析了 SocGholish 惡意程式服務 (MaaS) 框架,以及它如何經由已遭駭入的網站散布 RansomHub 勒索病毒,並使用高度加密編碼的 JavaScript 載入器來躲避偵測及執行各種惡意工作。
摘要
- Water Scylla 是一個複雜且包含多重階段的入侵集合 (intrusion set),包括使用已遭駭入的網站、與經營 Keitaro TDS 流量分配系統執行個體的駭客集團合作、散布 SocGholish 惡意檔案,以及在入侵後透過各種活動來散播 RansomHub 勒索病毒。截至 2025 年初為止,美國境內的 SocGholish 偵測數量最多,而政府機關是受害最嚴重的產業。
- SocGholish 的一項特點是使用經過加密編碼的 JavaScript 載入器,並利用各種躲避技巧來避開傳統的偵測方法,主要是經由已遭駭入的正常網站來散播。
- 駭客利用惡意腳本來感染正常網站,將網站訪客重導至假的瀏覽器更新通知,說服他們下載並執行惡意檔案。
- Water Scylla 會與經營 Keitaro TDS 流量分配系統執行個體的駭客合作來散布 SocGholish 惡意檔案。
- SocGholish 載入器可下載並執行惡意檔案、將機敏資料外傳,以及執行任意指令,因此能為駭客提供持續的存取來從事進一步的攻擊和部署惡意檔案。
- 要保護企業免於 SocGholish 入侵及後續的勒索病毒攻擊,部署延伸式偵測及回應解決方案、強化端點安全、強化記錄檔與網路監控、使用網站信譽評等服務、保護 CMS 與網站應用程式,以及淘汰或隔離已終止支援的系統等等都至關重要。
SocGholish 亦稱為「FakeUpdates」,是一個惡意程式服務 (Malware-as-a-service,簡稱 MaaS) 框架,Trend Research 最早在 2018 年發現它之後便一直在密切監控其各項活動。趨勢科技將其入侵集合 (intrusion set) 命名為「Water Scylla」並持續加以追蹤,它會散播 RansomHub 勒索病毒。
SocGholish 的一個特點是使用經過高度加密編碼的 JavaScript 載入器,並運用各種躲避技巧來讓它有效避開傳統特徵比對的偵測方法。
SocGholish 主要是經由已遭駭入的正常網站散播,駭客會將惡意腳本注入這些網站來挾持使用者流量。當使用者前往這些已遭駭入的網站時,就會被重新導向至偽裝成正常瀏覽器更新通知的假網頁。接著它會利用社交工程技巧,說服使用者下載一個惡意的 ZIP 檔案,檔案內含一個 JavaScript 檔案,也就是 SocGholish 載入器。
本文主要探討一個會在系統植入後門程式元件好讓 RansomHub 勒索病毒服務 (RaaS) 的加盟夥伴突破企業防線的惡意程式。RansomHub 是一個讓眾多企業發生資料外洩、受害機構數量排名第三的勒索病毒,第二名是 Akira,第一名則是 CL0P,而 RansomHub 背後的關鍵推手就是 SocGholish。
SocGholish 扮演了為勒索病毒開路的關鍵角色,因此資安人員有必要特別加以關注來防範攻擊。SocGholish 的主要目標是植入第二階段惡意檔案,其中也包括後門程式元件。這些後門程式可讓駭客持續存取受感染的系統,進一步發動攻擊並部署惡意檔案。
SocGholish 載入器的功能非常廣泛,能依操作人員的指示執行任意工作。它可以:
- 下載並執行惡意檔案:包括後門程式元件與資訊竊取程式。
- 竊取機敏資訊:它會蒐集受感染系統上的資料並傳回到幕後操縱 (CC) 基礎架構。
執行任意指令:這讓駭客能在受駭系統上從事各式各樣的惡意活動。
從今年初以來,SocGholish 的偵測數量在美國最多,其次是日本,再來是台灣。政府機關是受害最嚴重的產業,銀行及顧問產業則分別名列第二和第三。SocGholish 能常駐並躲避偵測的特性,使得它在勒索病毒攻擊初期扮演著關鍵角色。企業需特別提高資安意識並建置嚴格的網路資安措施,才能有效發掘及防範這類威脅。
突破防線
SocGholish 的散布機制主要包含幾項元素:
- 已遭駭入並注入了惡意腳本的網站 (T1608.004 - 順道下載目標)。
- 一個不肖的 Keitaro TDS 執行個體 (商用流量分配系統),用來散布 SocGholish 並過濾來自沙盒模擬分析與研究人員的流量。
- 假的更新網頁,用來誘騙受害者並提供惡意檔案。
- 一個 ZIP 檔案,內含 SocGholish JavaScript 惡意檔案。



駭客經營的 Keitaro TDS 執行個體
Water Scylla 會與經營不肖 Keitaro Traffic Direction System (TDS) 伺服器的駭客集團合作 (圖 4) 來提供含有 SocGholish 惡意檔案的 FakeUpdates 網頁。

趨勢科技光 2025 年的監測資料就發現了數千個已遭駭入的網站被注入了指向這些惡意 TDS 網域的腳本,它們會視訪客的地理位置來感染 SocGholish。以下圖 5 顯示了駭客的入侵規模,這些被駭入的網站會挾持使用者並協助散布惡意程式。

在使用率最高的幾個 TDS 網域當中,「blackshelter[.]org」至少有 1,297 個受駭網站被重導至該網域,其次是「rednosehorse[.]com」的 932 個以及「newgoodfoodmarket[.]com」的 550 個。
首次執行
當使用者開啟 JavaScript 檔案時 (圖 7) (T1204.002:使用者執行:惡意檔案),Windows Scripting Host (wscript.exe) (T1059.007:指令與腳本解譯器:JavaScript) 就會執行載入器,接著載入器會蒐集有關端點的資訊 (表 1)。這些資訊會傳送至 CC 伺服器來對環境進行分析 (圖 6)。

項目 | 說明 |
ScriptFullName | 正在執行的腳本完整路徑。 |
ComputerName | 電腦名稱。 |
UserName | 目前登入的使用者。 |
UserDomain | 使用者的網域。 |
%userdnsdomain% | 經由環境變數 UserDnsDomain 取得的使用者 DNS 網域。 |
Win32_ComputerSystem.Manufacturer | 電腦的製造商。 |
Win32_ComputerSystem.Model | 電腦的型號。 |
Win32_BIOS.Version 與 Win32_BIOS. SerialNumber | BIOS 版本+序號。 |
AntiSpywareProduct.displayName | 已安裝的間諜程式防護產品名稱。 |
AntiVirusProduct.displayName | 已安裝的防毒產品名稱。 |
MACAddress | 網路介面卡的 MAC 位址。 |
Win32_Process.Name | 執行中的處理程序名稱。 |
Win32_OperatingSystem.BuildNumber | 作業系統的組建編號。 |
表 1:SocGholish 載入器在分析環境時所蒐集的資訊。

幕後操縱與躲避防禦
我們的調查發現 CC 伺服器發送了數十項工作給載入器來執行,從執行偵查指令、到植入後門程式元件,再到資料外傳等等。
另外還有一些輔助函示來支援這些工作的執行,包括:
- 一個解碼函式,每隔三個字元從字串抓出第一個字元 (圖 8)。
- 有兩個與 MSXML2.XMLHTTP ActiveXObject 相關的字串會使用這個函式來解碼,這很可能是為了躲避惡意程式掃描介面 (AMSI) 的內容掃描 (T1027.013:加密/編碼檔案)。
- odkpjpehwnww = open
- swneqhnuedjy = send
- 有兩個與 MSXML2.XMLHTTP ActiveXObject 相關的字串會使用這個函式來解碼,這很可能是為了躲避惡意程式掃描介面 (AMSI) 的內容掃描 (T1027.013:加密/編碼檔案)。

- 將資料傳送至 CC 伺服器的函式 (圖 9)。
- 含有加密編碼的 ActiveXObject('MSXML2.XMLHTTP') 函式名稱,這些名稱會由前面的「alfh」函式來解碼。

- 從硬碟讀取檔案並將其刪除的函式 (圖 10) (T1070.004:清除在主機上的痕跡:刪除檔案)。

- 產生暫存檔案路徑的函式 (圖 11) (T1074.001:資料暫存:本機資料暫存)。

- 執行指令並擷取其輸出的函式 (圖 12) (T1059.003:指令與腳本解譯器:Windows 指令列介面)。

執行工作
當 SocGholish 執行時,它會向 CC 伺服器發送信號。接下來會有工作傳送至 SocGholish,然後再由載入器執行。每當有工作執行時,其產生的輸出就會被導向一個暫存檔案,並傳回給 CC 伺服器。
以下是惡意工作的執行順序:
- 搜尋與偵查工作。
- 蒐集登入憑證以及資料外傳工作。
- 植入後門程式與常駐工作。
- 反向指令列介面 (shell) 部署工作。
- 追蹤偵查工作的狀況,以及下載和執行 NIRCMD 來蒐集螢幕截圖。
搜尋工作
- 以下是搜尋工作 (圖 13) 的詳細內容:
- 執行 PowerShell 指令來列出 APPDATA Microsoft Signatures 目錄的內容 (T1059.001:指令與腳本解譯器:PowerShell)。
- 執行 net 指令來列出網域使用者 (T1087.002:帳號搜尋:網域帳號)。
- 執行 nltest 指令來列出網域信任關係 (T1482:網域信任搜尋)。
- 透過 PowerShell 指令執行 Active Directory Service Interfaces (ADSI) 查詢,取得 AD 資訊並與物件互動。ADSI 指令會擷取以下資訊: (T1069.002:權限群組搜尋:網域)
- 使用者名稱
- 使用者電子郵件
- 列出 Windows 2003 伺服器
- 列出所有伺服器
- 取得電腦的 DNS 主機名稱

幕後操縱 - 後門程式部署工作
執行以下工作是為了在受駭環境內植入一個 Python 後門程式,以便讓駭客能持續存取伺服器,並且將連線從駭客掌控的伺服器中繼至受駭環境內的電腦。我們認為這些活動是來自於 RansomHub 的加盟夥伴,駭客利用這項活動來執行幕後操縱、資料外傳以及植入勒索病毒。
以下是這些工作的詳細內容 (圖 14):
- 下載並安裝 Python 3.12 (T1059.006:指令與腳本解譯器:Python)。
- 安裝 Python PIP。
- 安裝相依元件並列出目錄內容。
- 建立一個排程工作來常駐於系統內 (T1053.005:排程工作:排程工作)。

「pypa.py」檔案是一個使用 pyobfuscate 來加密編碼的 Python 代理器 (proxy) 用戶端 (圖 15)。

它含有一個寫死的 RansomHub 相關 CC 伺服器的 IP 位址和連接埠 (T1095 非應用程式層次的通訊協定) (圖 16)。這個作法跟此惡意腳本之前的版本不同,之前版本的 IP 位址和連接埠是從指令列參數取得。

後門程式的用途是與寫死的 CC 伺服器建立連線,並接聽來自駭客的指令。這裡的指令是指連線指令,可支援 IP 位址或網域的格式。
如圖 17 所示,start_transferring 函式會解開駭客伺服器發送的連線指令,並與受駭環境內部的目標建立連線,這等於讓駭客可經由受駭主機連上任何主機 (內部或網際網路)。

蒐集登入憑證以及資料外傳工作
為了盡可能蒐集更多敏感的瀏覽器資料,駭客會搜尋瀏覽器的預設及其他設定檔,然後將瀏覽器儲存的內容外傳。值得注意的是,應用程式綁定的加密金鑰是從瀏覽器取得,這很可能是為了存取瀏覽器靜態儲存的加密登入憑證。這些工作所造成的衝擊是敏感的登入憑證遭竊取,進而讓企業和個人帳號遭到更廣泛的入侵。
根據觀察,以下是此一行為的相關工作 (圖 18-21):
- 將 Microsoft Edge 登入資料複製到指定位置 (T1555.003 從密碼儲存區截取登入憑證:網頁瀏覽器儲存的登入憑證)。
- 將 Google Chrome 登入資料複製到指定位置 (T1555.003 從密碼儲存區截取登入憑證:網頁瀏覽器儲存的登入憑證)。
- 將含有機敏資訊 (包括登入憑證) 的 <redacted>edg.bin 二進位檔案上傳至伺服器 (T1041:經由幕後操縱管道將資料外傳)。
- 將含有機敏資訊 (包括登入憑證) 的 <redacted>chr.bin 二進位檔案上傳至伺服器 (T1041:經由幕後操縱管道將資料外傳)。

- 從 Edge Local State 擷取 app_bound_encrypted_key。
- 從 Chrome Local State 擷取 app_bound_encrypted_key 已加密金鑰。

- 列出 Chrome 使用者資料夾的內容 (用來找出其他瀏覽器設定檔)。
- 列出 Chrome 使用者資料夾的內容。

- 將其他使用者設定檔擷取到的資料傳送至 SocGholish 的 CC 伺服器。

此外,我們也觀察到駭客利用 certutil 工具來從 Volume Shadow Copy 磁碟區陰影複製備份資料當中擷取系統登錄區 (hive) 資料 (SAM、SECURITY、 SYSTEM),將內容儲存到 %PROGRAMDATA% 資料夾底下名為「s*1.txt」的檔案,其中 * 代表被傾印的系統登錄區 (hive) 識別碼 (圖 22-24)。(T1003.002 搜刮作業系統登入憑證:Security Account Manager,S0160 :certutil,T1006 :Direct Volume Access)



部署 SSH 反向指令列介面搭配連接埠轉發
駭客執行了多項工作來部署一個可能跟 RansomHub 有關的反向指令列介面 (reverse shell),用於幕後操縱 (T1572 通訊協定通道) 以及資料外傳 (T1041:經由幕後操縱管道將資料外傳) (圖 25)。
詳細工作如下:
- 列出 System32 目錄中有關 OpenSSH 的內容。
- 設定一個排程工作來建立 SSH 反向指令列介面,並使用遠端連接埠轉發功能 (-R 參數) (T1021.004:遠端服務:SSH)。
- 執行一次性排程工作來啟動反向指令列介面。

經由鍵盤操作的互動
從這些指令的時間點 (圖 26-30),再加上重複執行的動作,以及執行指令時出現了語法錯誤來看,這個階段應該是經由鍵盤操作來進行互動。
- 執行 systeminfo 指令來蒐集主機的詳細資訊 (T1082:系統資訊搜尋)。
- 執行 ipconfing /all 指令來蒐集有關主機的詳細網路資訊 (T1016:系統網路組態搜尋)。
- 取得本機系統管理員群組的成員 (T1069.001:權限群組搜尋:本機群組)。
- 列出網路共用資料夾 (T1135:網路共用資料夾搜尋)。
- 取得帳號政策 (T1201:密碼政策搜尋)。
- 列出電腦上的使用者目錄 (T1083:檔案與目錄搜尋)。

- 輸入了一個錯誤的指令 – net use <username> /domain (T1087.002:帳號搜尋:網域帳號)。
- 擷取網域使用者資訊 (T1069.002:權限群組搜尋:網域群組)。
- 搜尋含有「pass」這個字串的檔案 (尋找含有登入憑證的檔案) (T1083:檔案與目錄搜尋,T1552.001:不安全的登入憑證:檔案中的登入憑證)。

- 擷取 Wi-Fi 設定檔 (SSID 和金鑰) (T1602.002:來自本機系統的資料:來自無線網路的密碼)。

- 下載並執行 NIRCMD (T1105:對內傳輸工具)。
- 將螢幕截圖傳送至 CC 伺服器。


此外,駭客也透過 SMB 通訊協定 (T1021.002 應用程式層次的通訊協定:SMB/Windows 系統管理共用資料夾) 並使用已遭外洩的登入憑證來連上網路內的多台主機 (T1078:合法帳號)。接下來,一個 BAT 檔案被傳送至遠端主機的 %PROGRAMDATA% 資料夾。此外,還會建立一個排程工作,每隔兩小時在遠端主機上執行一次 BAT 檔案 (圖 31)。不過,駭客在強制執行該工作和檔案之後的幾秒鐘內便將它們刪除。

雖然檔案已無法取得,但主機上的監測資料顯示該批次檔案似乎會試圖從 Microsoft Edge 和 Google Chrome 瀏覽器相關的本地端狀態檔案中擷取已加密的金鑰,然後將結果儲存到 %PROGRAMDATA% 資料夾中的「*.log」檔案。
駭客會手動搜尋主機上儲存的影像檔案,尋找名稱看起來可能含有雲端管理服務相關登入憑證的檔案。
手法 | 技巧 | 說明 |
TA0042 資源開發 | T1608.004 順道下載目標 | 在準備散播 SocGholish 的過程中,駭客會駭入一些網站並注入惡意程式碼來挾持訪客流量,將使用者重導到提供 SocGholish 的 FakeUpdates 網頁。 |
TA0002 執行 | T1204.002 惡意檔案 | 駭客靠使用者啟動一個惡意的 JavaScript 檔案來取得執行權。 |
T1059.007 指令與腳本解譯器:JavaScript | SocGholish 使用 wscript.exe 來執行 JavaScript 惡意程式碼。 | |
T1059.003 Windows 指令列介面指令與腳本解譯器:Windows 指令列介面 | SocGholish 使用 Windows 指令列介面 (cmd.exe) 來執行工作。 | |
T1059.001 指令與腳本解譯器:PowerShell | SocGholish 使用 PowerShell 來執行偵查指令並部署後門程式。 | |
T1059.006 指令與腳本解譯器:Python | 駭客部署了一個 Python 後門程式來作為外部連線與內部資訊資產之間的代理器 (proxy)。 | |
TA0005 躲避防禦 | T1027.013 加密編碼的檔案或資訊:加密/編碼的檔案 | SocGholish 對程式碼使用了大量的加密編碼來讓資安廠商的靜態檔案偵測機制更難發揮作用。 |
T1070.004 清除痕跡:檔案刪除 | SocGholish 含有程式碼來將硬碟上的惡意 CC 伺服器工作執行證據刪除。 | |
T1006 直接存取磁碟區 | 駭客利用 certutil.exe 來讀取磁碟區陰影複製 (Volume Shadow Copy) 備份資料,取得 Security Accounts Manager (SAM) 儲存的機敏資料。 | |
TA0009 資料蒐集 | T1074.001 資料暫存:本機資料暫存 | SocGholish 的工作會先將資料輸出到載入器的某函式產生的暫存目錄中,然後再將資料外傳。 |
TA0007 搜尋 | T1069.001 權限群組搜尋:本機群組 | SocGholish 的工作會找出本機系統管理員群組的成員。 |
T1087.002 帳號搜尋:網域帳號 | SocGholish 的工作會蒐集有關網域帳號的資訊。 | |
T1082 系統資訊搜尋 | SocGholish 的工作會在載入器執行時透過 systeminfo 指令取得環境的詳細資訊。 | |
T1482 網域信任搜尋 | SocGholish 的工作會執行 nltest 來蒐集有關網域信任關係的資訊。 | |
T1069.002 權限群組搜尋:網域群組 | SocGholish 的工作會發搜尋網域層次的群組與權限。 | |
T1016 系統網路組態搜尋 | SocGholish 的工作會執行 ipconfig /all 指令來取得網路的組態與設定。 | |
T1135 網路共用資料夾搜尋 | SocGholish 的工作會偵測網路共用磁碟。 | |
T1083 檔案與目錄搜尋 | 駭客會執行 dir 指令來搜尋機敏檔案並瀏覽使用者目錄。 | |
TA0003 常駐 | T1053.005 排程工作:排程工作 | 使用排程工作讓 Python 後門程式能常駐於系統內。 |
TA0011 幕後操縱 | T1095 非應用程式層次的通訊協定 | Python 後門程式會與外部主機建立 TCP 連線,以便將連線中繼至受駭環境的內部資產。 |
T1572 通訊協定通道 | 駭客利用 SSH 作為外部 CC 伺服器與內部網路之間的通訊代理器 (proxy)。 | |
T1105 對內傳輸工具 | 駭客執行 SocGholish 的工作來下載工具 (如 NIRCMD.exe) 到受害環境,以便內蒐集螢幕截圖。 | |
TA0006 存取登入憑證 | T1555 從密碼儲存區截取登入憑證 | 駭客利用「netsh wlan show profiles」指令來顯示設定檔,藉此取得有關無線網路組態設定的機敏資訊。 |
T1555.003 從密碼儲存區截取登入憑證:網頁瀏覽器儲存的登入憑證 | SocGholish 的工作會從瀏覽器網站密碼儲存區複製登入憑證,並將資料外傳。 | |
T1003.002 Security Account Manager | 駭客利用 certutil.exe 來讀取磁碟區陰影複製 (Volume Shadow Copy) 備份資料,取得 Security Accounts Manager (SAM) 儲存的機敏資料。 | |
T1552 不安全的登入憑證:檔案中的登入憑證 | 駭客會搜尋名稱中含有「pass」這個字串的檔案。 | |
TA0010 資料外傳 | T1041 經由幕後操縱管道將資料外傳 | SocGholish 會將竊取到資料外傳至 CC 伺服器,包括:登入憑證、螢幕截圖以及偵查指令輸出的資料。 |
TA0008 橫向移動 | T1021.002 遠端服務:SMB/Windows 系統管理共用資料夾 | 駭客使用合法帳號透過 SMB 通訊協定入侵網路內的主機。 |
SocGholish 基礎架構
根據我們最近追蹤 SocGholish CC 基礎架構的結果顯示,駭客共有 18 台活躍的 CC 伺服器,其網域每週至少更換一次,而且網域更換的頻率也會變動 (圖 32)。新的網域也許可以提高感染成功率。
SocGholish 集團會使用已遭駭入的網域作為 CC 基礎架構,並且在下面建立新的子網域來給 SocGholish 使用。這是一種被稱為「網域陰影」(domain shadowing) 的駭客技巧,因為它是寄生在聲望較高的企業網域之下,這樣就比較不會被自動化偵測系統所封鎖。

RansomHub 基礎架構
由於這波攻擊的目的是要讓 RansomHub 能夠突破企業防線,因此我們的情報團隊自從這個惡意基礎架構被用於 SocGholish 感染後續階段之後,便一直在追蹤它的活動 (圖 33)。我們發現了 22 個 IP 位址,橫跨多個「自治系統編號」(Autonomous System Number,簡稱 ASN),主要分布在美國,只有 2 個分別位於荷蘭和德國。

資安建議
資安與事件回應團隊必須將 SocGholish 感染當成緊急重大事件來處理,並啟動事件回應程序來迅速防範其惡意活動所帶來的衝擊,例如:植入後門程式、存取未經授權的機敏資料、橫向移動、資料外傳,以及散播勒索病毒導致資料損毀。此外,資安人員也應採取以下最佳實務原則:
- 部署延伸式偵測及回應 (XDR) 解決方案來快速發掘、遏止及交叉關聯惡意活動,例如 SocGholish 的攻擊活動。
- 縮小使用腳本的惡意程式 (如 SocGholish) 的攻擊面:
- 強化端點與伺服器,透過政策導向的控管 (如群組政策物件) 來封鎖執行 Windows Scripting Host (wscript.exe) 與 PowerShell 的可疑動作。
- Trend Vision One 客戶可在「Endpoint and Server Policies」(端點和伺服器政策) 中啟用「Behavior Monitoring and Predictive Machine Learning」(行為監控與預判式機器學習) 來縮小攻擊面。
- 啟用惡意程式防護掃描介面事件的記錄檔以方便調查。
- Trend Vision One 客戶可調查「TELEMETRY_AMSI_EXECUTE」事件來重建腳本執行事件的回應活動。
- 在端點、雲端工作負載及代理伺服器 (proxy server) 上導入網站信譽評等服務 (WRS) 來偵測及攔截惡意和異常的流量。
- 採用網路入侵偵測防護 (IPS) 解決方案,以及網路偵測及回應 (NDR) 來掌握網路流量的可視性。
- 淘汰、大幅強化、切割或隔離已終止支援的作業系統,因為這些都是駭客的偵查與橫向移動技巧鎖定的目標。
網站系統管理員和擁有者自己也應該了解:含有漏洞的內容管理系統 (CMS) 及其擴充元件是駭客經常攻擊的目標。因為,網路犯罪集團會利用網站來挾持訪客的流量 (就像 SocGholish 的作法一樣),同時還會散布惡意程式。
遭到駭入的網站萬一被資安解決方案和網站封鎖清單列為惡意網站,那麼企業的營運將受到嚴重影響。網站系統管理員可採取以下措施來防範此問題:
- 追蹤有關內容管理系統的資安公告,來套用最新的防範措施及漏洞修補。
- 追蹤有關內容管理系統擴充元件的資安公告,來套用最新的防範措施及漏洞修補,因為這些漏洞有可能被用來入侵網站伺服器。
- 部署網站應用程式防火牆來過濾漏洞攻擊流量。
- 管制系統管理入口網站的存取。
- 採用多重認證 (MFA) 與複雜的密碼來保護系統管理面板。
- 使用 SSH 金鑰來保護系統管理介面 (如:網站主機管理介面、控制台及 SSH 介面),避免系統管理介面暴露在網際網路上。
- 在遭到駭客入侵之後,將受駭的網站伺服器隔離並重灌,徹底剷除駭客。
採用 Trend Vision One™ 的主動式防護
Trend Vision One™ 是一套能簡化資安作業的企業網路資安平台,藉由整合多種防護功能、強化企業對攻擊面的掌握,以及提供資安風險狀況的全方位可視性,來協助企業更快偵測及攔截威脅。這套雲端式平台,運用了 AI 以及來自全球 2.5 億個感測器與 16 個威脅研究中心的威脅情報,在單一解決方案當中提供了完整的風險洞見、早期威脅偵測,以及自動化風險與威脅回應選項。
如前面提到,Trend Vision One 客戶可在「Endpoint and Server Policies」(端點和伺服器政策) 中啟用「Behavior Monitoring and Predictive Machine Learning」(行為監控與預判式機器學習) 來縮小攻擊面。
Trend Vision One 威脅情報
要隨時掌握持續演變的威脅,Trend Vision One 客戶可透過 Intelligence Reports 以及 Threat Insights 取得各種情報與威脅洞見。Threat Insights 可幫助客戶在威脅發生之前便提前掌握,並對新興的威脅預先做好準備,提供有關駭客、惡意活動及駭客技巧的完整資訊。善用這些情報,客戶就能主動採取步驟來保護自己的環境、防範風險,並且有效回應威脅。
Trend Vision One Intelligence Reports 應用程式 [IoC 掃描]
- [AIM/MDR/IR][Spot Report] Ghoulish 的手法:揭開 SocGholish 至 Ransomhub 的攻擊過程
Trend Vision One Threat Insights 應用程式
追蹤查詢
Trend Vision One Search 應用程式
Trend Vision One 客戶可以使用 Search 應用程式來尋找或追蹤本文提到的惡意指標,看看是否也出現在自己的環境中。
搜尋最初的植入器:
tags: (“XSAE.F11697” OR “XSAE.F11689” OR “XSAE. F8637” OR “XSAE. F8636” OR “XSAE. F7176”)
除此之外,Trend Vision One 客戶還可啟用 Threat Insights 權利來取得更多追蹤查詢。
結論
SocGholish 是一個既猖獗又隱匿的威脅,其載入器大量使用了加密編碼,因此對靜態檔案偵測技術來說是一項挑戰。其無檔案的指令執行方式,也可能對某些偵測技術帶來挑戰。
除此之外,駭客入侵了大量的網站來散布 SocGholish,再搭配商用 TDS 來躲避沙盒模擬分析與網站爬梳程式,並使用了沙盒模擬分析反制技巧,這些都可能導致某些自動化偵測技術 (如沙盒模擬分析) 遭遇困難,使得 SocGholish 有機會在企業內環境執行,帶來強大的殺傷力。
而且該集團又與 RansomHub 這類猖獗又危險的 RaaS 集團合作,意味著 SocGholish 對企業來說是一大威脅。不過,我們還是有很多機會可以偵測這項威脅:從一些可疑的動作 (如搜尋、橫向移動、蒐集登入憑證、資料外傳),到對外連線至信譽不佳的基礎架構,以及來自受駭主機的異常對內連線等等。
入侵指標 (IoC)
詳細的 IoC 清單請至此處下載。